個人情報取扱事業者の義務(「第三者提供の制限」編(その1))

第三者提供の制限に関する規定である個人情報保護法23条は、内容のボリュームが非常に大きいため、いくつかの記事に分けることとします。
今回の記事は、原則として第三者提供は本人の事前の同意がなければ認められないとする、法23条1項についての解説となります。

個人情報取扱事業者の義務一覧

• 「個人情報」
  • 利用目的の特定(個人情報保護法15条)
  • 利用目的による制限(同法16条)
  • 不適正な利用の禁止(改正同法16条の2)
  • 適正な取得(同法17条)
  • 取得に際しての利用目的の通知等(同法18条)
• 「個人データ」
  • データ内容の正確性の確保等(同法19条)
  • 安全管理措置(同法20条)
  • 従業者の監督(同法21条)
  • 委託先の監督(同法22条)
  • 漏えい等の報告等(改正同法22条の2)
  • 第三者提供の制限(同法23条)(今回取り扱います)
  • 外国にある第三者への提供の制限(同法24条)
  • 第三者提供に係る記録の作成等(同法25条)
  • 第三者提供を受ける際の確認等(同法26条)
  • 個人関連情報の第三者提供の制限等(改正同法26条の2)
    ※ 提供されるのはあくまで「個人関連情報」であり、「個人データ(個人情報)」ではありませんが、関連するため記載しています。
• 「保有個人データ」
  • 保有個人データに関する事項の公表等(同法27条)
  • 開示(同法28条)
  • 訂正等(同法29条)
  • 利用停止等(同法30条)
  • 理由の説明(同法31条)
  • 開示等の請求等に応じる手続(同法32条)

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

第三者提供の制限(改正法23条、改正部分強調)

個人情報保護法第23条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
　一　法令に基づく場合
　二　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
　三　公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
　四　国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2-6　(略)

「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」(1項柱書)

個人情報取扱事業者は、あらかじめ本人の同意を得るか、又は除外事由に該当する事由のないかぎり、個人データを第三者に提供してはなりません。
「第三者」は、自然人であるか法人等の団体であるかを問いませんし、個人情報取扱事業者であるかどうかも問いません。
これは、同意を得ずして第三者に自由に個人データを提供できるとなると、当該個人データが誰に提供され、どのように利用されているのかを本人が把握できないか、又は把握するのが困難な状況に置かれるため、そのような不都合を防止し、もって個人の権利利益の保護を図ろうとする趣旨で設けられた規定です。

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」pp45-46
　「ブログやその他のSNSに書き込まれた個人データを含む情報については、当該情報を書き込んだ者の明確な意思で不特定多数又は限定された対象に対して公開されている情報であり、その内容を誰が閲覧できるかについて当該情報を書き込んだ者が指定していることから、その公開範囲について、インターネット回線への接続サービスを提供するプロバイダやブログその他のSNSの運営事業者等に裁量の余地はないため、このような場合は、当該事業者が個人データを第三者に提供しているとは解されない。」
　「個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、法第83条により刑事罰(1年以下の懲役又は50万円以下の罰金)が科され得る。」

個人情報取扱事業者は、あらかじめ本人の同意を取得するに際して、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含みます。)等に応じ、本人が同意をするか否かの判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければなりません(前記ガイドラインp45)。
「あらかじめ」とは、提供しようとする個人データが第三者に提供される時点よりも前をいいます(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」p29(A5-6))。
個人情報を取得する際に、同時に、第三者提供をすることについて同意を得ることも許容されています(前記Q&A p29(A5-7))。
また、第三者提供する都度本人の同意を得る必要はなく、包括的な同意で足ります(前記Q&A p29(A5-8))。

「本人の同意」については、個人情報取扱事業者の義務(「利用目的による制限」編)で述べた場合と基本的には同様です。
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p24によると、次のような事例は、本人の同意を得ている事例とされています。

• 本人からの同意する旨の口頭による意思表示
• 本人からの同意する旨の書面(電磁的記録を含む。)の受領
• 本人からの同意する旨のメールの受信
• 本人による同意する旨の確認欄へのチェック
• 本人による同意する旨のホームページ上のボタンのクリック
• 本人による同意する旨の音声入力、タッチパネルへのタッチ、ボタンやスイッチ等による入力

なお、そもそも個人情報を第三者に提供することが想定されている場合には、利用目的において、その旨を特定しなければなりません(法15条1項)。

前記ガイドラインp45によると、第三者提供とされる事例は、次のような事例です(ただし、法23条5項各号の場合は除きます。)。

• 親子兄弟会社、グループ会社の間で個人データを交換する場合
• フランチャイズ組織の本部と加盟店の間で個人データを交換する場合
• 同業者間で、特定の個人データを交換する場合

前記Q&A p29
　「(当社の提携会社や協力会社から、当社の従業者にお中元を贈りたいとの理由で、当該従業者の連絡先を教えてほしいと言われた場合に)提携会社や協力会社に従業者の個人情報を提供することは第三者提供に該当しますので、あらかじめ従業者本人から同意を得ておくなどの措置が必要となります。」(A5-3)

また、前記ガイドラインp45によると、第三者提供とされない事例は、次のような事例です(ただし、利用目的による制限があります。)。

• 同一事業者内で他部門へ個人データを提供する場合

前記Q&A p29
　「ただし、他の部署によって、当初特定した利用目的の達成に必要な範囲を超えて個人情報が利用される場合には、あらかじめ、目的外利用に関する本人の同意を得る必要があります」(A5-2)

1項各号の除外事由については、個人情報取扱事業者の義務(「利用目的による制限」編)で述べた場合と基本的に同様ですので、詳細はそちらをご参照ください。
また、前記Q&A pp30-34に除外事由に関するQ&Aが多数記載されていますので、その一部を引用します。

前記Q&A pp30-34
　「デパートの中で、迷子になった幼少児の名前をアナウンスしても問題はありませんか」(Q5-5)
　「一般的に、幼少児の個人情報を第三者提供するために必要な同意は親権者から得る必要がありますが、迷子になった幼少児の保護者を探して当該幼少児の安全を確保する必要がある場合は、その名前をアナウンスすることができるものと解されます(2号)」(A5-5)

　「(株主名簿閲覧請求があった場合、)会社法において、株主には株主名簿の閲覧請求権が認められているため(会社法第125条第2項)、会社法に基づく適法な閲覧請求に応じることは、法第23条第1項第1号に規定する『法令に基づく場合』に該当します。したがって、全株主の同意がないことは、個人情報保護法上、閲覧請求を拒否する理由にはならないものと解されます。」(A5-15)

まずはお気軽にお問い合わせください。